View a markdown version of this page

Jeton d'accès programmatique Snowflake - AWS Secrets Manager
Champs de valeurs secretsChamps de métadonnées secretsFlux d'utilisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Jeton d'accès programmatique Snowflake

Champs de valeurs secrets

Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :

{
  "account": "Snowflake account identifier",
  "user": "Snowflake username",
  "privateKey": "PEM-encoded private key",
  "passphrase": "private key passphrase (optional)",
  "patTokenName": "PAT name",
  "patTokenValue": "PAT secret value"
}
compte

L'identifiant de votre compte Snowflake (par exemple,myorg-myaccount). Il s'agit de la partie précédente .snowflakecomputing.com dans votre URL Snowflake.

user

Le nom d'utilisateur Snowflake à qui appartient le PAT. L'authentification par paire de clés doit être configurée pour cet utilisateur.

privateKey

PEM-encoded clé privée pour l'authentification par paire de clés. Cette touche n'est pas pivotée, elle est utilisée pour authentifier la commande ROTATE PAT (un PAT ne peut pas pivoter lui-même).

phrase secrète

(Facultatif) Phrase secrète pour une clé privée chiffrée. Laissez ce champ vide si la clé privée n'est pas chiffrée.

pat TokenName

Nom du jeton d'accès programmatique à faire pivoter. Doit correspondre au nom du jeton dans Snowflake.

pat TokenValue

La valeur secrète du jeton d'accès programmatique. Il s'agit du champ qui fait l'objet d'une rotation.

Champs de métadonnées secrets

Les champs de métadonnées du jeton d'accès programmatique Snowflake sont les suivants :

{
  "daysToExpiry": "15",
  "expireOldTokenAfterHours": "24"
}
jours ToExpiry

(Facultatif) La valeur DAYS_TO_EXPIRY du PAT définie au moment de la création (1 à 365). Par défaut : 15. Doit correspondre au réglage Snowflake. Utilisé pour valider que le calendrier de rotation est plus court que le TTL du jeton.

expirer OldTokenAfterHours

(Facultatif) Heures avant l'expiration du jeton précédent après la rotation (0—720). Par défaut : 24. Réglé sur 0 pour l'expiration immédiate de l'ancien jeton.

Flux d'utilisation

Cette rotation utilise une architecture à secret unique. Le secret contient à la fois les informations d'identification de la paire de clés (pour authentifier la commande de rotation) et la valeur PAT (les informations d'identification pivotées).

Vous pouvez créer votre secret à l'aide de l'CreateSecretappel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as SnowflakePat. Les configurations de rotation peuvent être définies à l'aide d'un RotateSecretappel. Le champ de métadonnées de rotation peut être laissé vide pour utiliser les valeurs par défaut. Vous devez fournir un ARN de rôle dans l'RotateSecretappel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir Sécurité et autorisations.

Pendant la rotation, le pilote se connecte à Snowflake via l'authentification par paire de clés et exécute la ALTER USER ... ROTATE PAT commande, qui génère automatiquement un nouveau jeton et fait expirer l'ancien avec le délai de grâce configuré. Le nouveau jeton est ensuite vérifié en se connectant en tant que mot de passe.